Tutorial: habilitar somente a autenticação do Microsoft Entra com o SQL do Azure

Aplica-se a:Banco de Dados SQL do Azure Instância Gerenciada de SQL do Azure

Este artigo orienta você pela habilitação da autenticação somente do Microsoft Entra com o recurso SQL do Azure no Banco de Dados SQL do Azure e na Instância Gerenciada de SQL do Azure. Se você deseja provisionar um Banco de Dados SQL ou uma Instância Gerenciada de SQL com a autenticação somente do Microsoft Entra habilitada, consulte Criar servidor com autenticação somente do Microsoft Entra habilitada no Azure SQL.

Observação

O Microsoft Entra ID era anteriormente conhecido como Azure Active Directory (Azure AD).

Neste tutorial, você aprenderá a:

Atribuir função para habilitar a autenticação somente do Microsoft Entra
Habilitar a autenticação somente do Microsoft Entra usando o portal do Azure, a CLI do Azure ou o PowerShell
Verificar se a autenticação somente do Microsoft Entra está habilitada
Testar a conexão ao SQL do Azure
Desabilitar a autenticação somente do Microsoft Entra usando o portal do Azure, a CLI do Azure ou o PowerShell

Pré-requisitos

Um locatário do Microsoft Entra. Para obter mais informações, consulte Configurar e gerenciar a autenticação do Microsoft Entra com o SQL do Azure.
Um Banco de Dados SQL ou a Instância Gerenciada de SQL do Azure com um banco de dados e logons ou usuários. Confira o Início Rápido: Criar um banco de dados individual – Banco de Dados SQL do Azure se você ainda não criou um Banco de Dados SQL do Azure ou Início Rápido: Criar Instância Gerenciada de SQL do Azure.

Atribuir função para habilitar a autenticação somente do Microsoft Entra

Para habilitar ou desabilitar a autenticação somente do Microsoft Entra, as funções internas selecionadas são necessárias para os usuários do Microsoft Entra que executam essas operações neste tutorial. Vamos atribuir a função Gerenciador de Segurança de SQL ao usuário neste tutorial.

Para obter mais informações sobre como atribuir uma função a uma conta Microsoft Entra, consulte Atribuir funções de administrador e não administrador a usuários com Microsoft Entra ID

Para obter mais informações sobre a permissão necessária para habilitar ou desabilitar a autenticação somente do Microsoft Entra, confira o artigo sobre a Seção de Permissões da autenticação somente do Microsoft Entra.

Em nosso exemplo, atribuiremos a função Gerenciador de Segurança de SQL ao usuário UserSqlSecurityManager@contoso.onmicrosoft.com. Usando o usuário privilegiado que pode atribuir funções do Microsoft Entra, entre no portal do Azure.
Vá para o recurso de servidor do SQL e selecione Controle de acesso (IAM) no menu. Selecione o botão Adicionar e, em seguida, Adicione a atribuição de função na lista suspensa.
No painel Adicionar atribuição de função, selecione a função Gerenciador de Segurança de SQL e selecione o usuário que você deseja que tenha a capacidade de habilitar ou desabilitar a autenticação do Microsoft Entra somente.
Clique em Salvar.

Habilitar Autenticação somente do Microsoft Entra

Habilitar no Banco de Dados SQL usando o portal do Azure

Para habilitar a autenticação Kerberos para Microsoft somente Entra usando o portal do Azure, siga estas etapas:

Usando o usuário com a função Gerenciador de Segurança de SQL, acesse o portal do Azure.
Vá para o recurso do SQL Server e selecione Microsoft Entra ID no menu Configurações.
Se você não tiver adicionado um administrador do Microsoft Entra, precisará definir isso antes de habilitar a autenticação somente do Microsoft Entra.
Marque a caixa para Suporte apenas para autenticação do Microsoft Entra para este servidor.
O pop-up Habilitar somente a autenticação do Microsoft Entra será exibido. Selecione Sim para habilitar o recurso e salve a configuração.

Habilitar na Instância Gerenciada de SQL usando o portal do Azure

Para habilitar a autenticação apenas do Microsoft Entra no portal do Azure, consulte as etapas abaixo.

Usando o usuário com a função Gerenciador de Segurança de SQL, acesse o portal do Azure.
Acesse o recurso instância gerenciada SQL e selecione Administrador do Microsoft Entra no menu Configurações.
Se você não tiver adicionado um administrador do Microsoft Entra, precisará definir isso antes de habilitar a autenticação somente do Microsoft Entra.
Marque a caixa de seleção Suporte apenas à autenticação do Microsoft Entra para esta instância gerenciada.
O pop-up Habilitar somente a autenticação do Microsoft Entra será exibido. Selecione Sim para habilitar o recurso e salve a configuração.

Habilitar no Banco de Dados SQL usando a CLI do Azure

Para habilitar a autenticação somente do Microsoft Entra no Banco de Dados SQL do Azure usando a CLI do Azure, confira os comandos abaixo. Instale a versão mais recente da CLI do Azure. Você precisa ter a CLI do Azure versão 2.14.2 ou superior. Para obter mais informações sobre esses comandos, confira az sql server ad-only-auth.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra usando APIs, confira Gerenciamento da autenticação somente do Microsoft Entra usando APIs.

Observação

O administrador do Microsoft Entra deve ser definido para o servidor antes da habilitação da autenticação somente do Microsoft Entra. Caso contrário, o comando da CLI do Azure falhará.

Para permissões e ações necessárias para o usuário executar esses comandos a fim de habilitar a autenticação somente do Microsoft Entra, confira o artigo Autenticação somente do Microsoft Entra.

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
az login
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
az sql server ad-only-auth enable --resource-group <myresource> --name <myserver>
```

Habilitar na Instância Gerenciada de SQL usando a CLI do Azure

Para habilitar a autenticação somente do Microsoft Entra na Instância Gerenciada de SQL do Azure usando a CLI do Azure, confira os comandos abaixo. Instale a versão mais recente da CLI do Azure.

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
az login
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
az sql mi ad-only-auth enable --resource-group <myresource> --name <myserver>
```

Habilitar um Banco de Dados SQL usando o PowerShell

Para habilitar a autenticação somente do Microsoft Entra no Banco de Dados SQL do Azure usando o PowerShell, confira os comandos abaixo. O módulo Az.Sql 2.10.0 ou superior é necessário para executar esses comandos. Para obter mais informações sobre esses comandos, confira Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra usando APIs, confira Gerenciamento da autenticação somente do Microsoft Entra usando APIs

Observação

O administrador do Microsoft Entra deve ser definido para o servidor antes da habilitação da autenticação somente do Microsoft Entra. Caso contrário, o comando PowerShell falhará.

Enable-AzSqlServerActiveDirectoryOnlyAuthentication : The client
'UserSqlServerContributor@contoso.onmicrosoft.com' with object id
'<guid>' does not have authorization to perform
action 'Microsoft.Sql/servers/azureADOnlyAuthentications/write' over scope
'/subscriptions/<guid>...'

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
Connect-AzAccount
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
Enable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
```

Habilitar na Instância Gerenciada de SQL usando o PowerShell

Para habilitar a autenticação somente do Microsoft Entra na Instância Gerenciada de SQL do Azure usando o PowerShell, confira os comandos abaixo. O módulo Az.Sql 2.10.0 ou superior é necessário para executar esses comandos.

Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra usando APIs, confira Gerenciamento da autenticação somente do Microsoft Entra usando APIs.

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
Connect-AzAccount
```
Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada SQL e <myresource> pelo Recurso do Azure que contém a Instância Gerenciada de SQL.
```
Enable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Verificar o status de autenticação somente do Microsoft Entra

Verifique se a autenticação somente do Microsoft Entra está habilitada para o seu servidor ou instância.

Verifique o status no Banco de Dados SQL

Navegue até o recurso SQL Server no portal do Azure. Selecione Microsoft Entra ID no menu Configurações.

Verificar o status na Instância Gerenciada de SQL

Localize o nome do recurso de instância gerenciada de SQL no portal do Azure. Selecione Administrador do Microsoft Entra no menu Configurações.

Esses comandos podem ser usados para verificar se a autenticação somente do Microsoft Entra está habilitada no servidor lógico do Banco de Dados SQL do Azure ou da Instância Gerenciada de SQL. Os membros das funções Colaborador do SQL Server e Colaborador da Instância Gerenciada de SQL podem usar esses comandos para verificar o status da autenticação somente do Microsoft Entra, mas não podem habilitar nem desabilitar o recurso.

Verifique o status no Banco de Dados SQL

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL. Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra usando APIs, confira Gerenciamento da autenticação somente do Microsoft Entra usando APIs
```
az login
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
az sql server ad-only-auth get --resource-group <myresource> --name <myserver>
```

Você deve ver o seguinte resultado:

{
 "azureAdOnlyAuthentication": true,
 "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/servers"
}

Verificar o status na Instância Gerenciada de SQL

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
az login
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
az sql mi ad-only-auth get --resource-group <myresource> --name <myserver>
```

Você deve ver o seguinte resultado:

{
 "azureAdOnlyAuthentication": true,
 "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/managedInstances"
}

O status retornará True se o recurso estiver habilitado e False se estiver desabilitado.

Verifique o status no Banco de Dados SQL

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL. Para obter mais informações sobre como gerenciar a autenticação somente do Microsoft Entra usando APIs, confira Gerenciamento da autenticação somente do Microsoft Entra usando APIs
```
Connect-AzAccount
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
Get-AzSqlServerActiveDirectoryOnlyAuthentication  -ServerName <myserver> -ResourceGroupName <myresource>
```

Verificar o status na Instância Gerenciada de SQL

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
Connect-AzAccount
```
Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada SQL e <myresource> pelo Recurso do Azure que contém a Instância Gerenciada de SQL.
```
Get-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Testar a autenticação SQL com falha de conexão

Depois de habilitar a autenticação somente do Microsoft Entra, teste com o SQL Server Management Studio (SSMS) para se conectar com o seu Banco de Dados SQL ou Instância Gerenciada de SQL. Use a autenticação SQL para a conexão.

Você deverá ver uma mensagem de falha no login semelhante à seguinte saída:

Cannot connect to <myserver>.database.windows.net.
Additional information:
  Login failed for user 'username'. Reason: Azure Active Directory only authentication is enabled.
  Please contact your system administrator. (Microsoft SQL Server, Error: 18456)

Desabilitar a Autenticação somente do Microsoft Entra

Ao desabilitar o recurso de autenticação somente do Microsoft Entra, você permite a autenticação SQL e a autenticação do Microsoft Entra para o SQL do Azure.

Desabilitar no Banco de Dados SQL usando o portal do Azure

Usando o usuário com a função Gerenciador de Segurança de SQL, acesse o portal do Azure.
Vá para o recurso do SQL Server e selecione Microsoft Entra ID no menu Configurações.
Para desabilitar o recurso de autenticação somente do Microsoft Entra, desmarque a caixa de seleção Suporte apenas à autenticação do Microsoft Entra para este servidor e Salve a configuração.

Desabilitar na Instância Gerenciada de SQL usando o portal do Azure

Usando o usuário com a função Gerenciador de Segurança de SQL, acesse o portal do Azure.
Acesse o recurso instância gerenciada SQL e selecione Administrador do Active Directory no menu Configurações.
Para desabilitar o recurso de autenticação somente do Microsoft Entra, desmarque a caixa de seleção Suporte apenas à autenticação do Microsoft Entra para esta instância gerenciada e Salve a configuração.

Desabilitar no Banco de Dados SQL usando a CLI do Azure

Para desabilitar a autenticação somente do Microsoft Entra no Banco de Dados SQL do Azure usando a CLI do Azure, confira os comandos abaixo.

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
az login
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
az sql server ad-only-auth disable --resource-group <myresource> --name <myserver>
```

Depois de desabilitar a autenticação somente do Microsoft Entra, você deverá ver a seguinte saída ao verificar o status:

{
 "azureAdOnlyAuthentication": false,
 "/subscriptions/<guid>/resourceGroups/mygroup/providers/Microsoft.Sql/servers/myserver/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/servers"
}

Desabilitar na Instância Gerenciada de SQL usando a CLI do Azure

Para desabilitar a autenticação somente do Microsoft Entra na Instância Gerenciada de SQL do Azure usando a CLI do Azure, confira os comandos abaixo.

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
az login
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
az sql mi ad-only-auth disable --resource-group <myresource> --name <myserver>
```

Depois de desabilitar a autenticação somente do Microsoft Entra, você deverá ver a seguinte saída ao verificar o status:

{
 "azureAdOnlyAuthentication": false,
 "id": "/subscriptions/<guid>/resourceGroups/myresource/providers/Microsoft.Sql/managedInstances/myinstance/azureADOnlyAuthentications/Default",
 "name": "Default",
 "resourceGroup": "myresource",
 "type": "Microsoft.Sql/managedInstances"
}

Desabilitar um Banco de Dados SQL usando o PowerShell

Para desabilitar a autenticação somente do Microsoft Entra no Banco de Dados SQL do Azure usando o PowerShell, confira os comandos abaixo.

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
Connect-AzAccount
```
Execute o comando a seguir, substituindo <myserver> pelo nome do SQL server e <myresource> pelo Recurso do Azure que contém o SQL Server.
```
Disable-AzSqlServerActiveDirectoryOnlyAuthentication -ServerName <myserver>  -ResourceGroupName <myresource>
```

Desabilitar na Instância Gerenciada de SQL usando o PowerShell

Para desabilitar a autenticação somente do Microsoft Entra na Instância Gerenciada de SQL do Azure usando o PowerShell, confira os comandos abaixo.

Entre no Azure usando a conta com a função Gerenciador de Segurança de SQL.
```
Connect-AzAccount
```
Execute o comando a seguir, substituindo <myinstance> pelo nome da Instância Gerenciada SQL e <myresource> pelo Recurso do Azure que contém a instância gerenciada.
```
Disable-AzSqlInstanceActiveDirectoryOnlyAuthentication -InstanceName <myinstance> -ResourceGroupName <myresource>
```

Testar a conexão ao SQL do Azure novamente

Depois de desabilitar a autenticação somente do Microsoft Entra, teste a conexão usando um login de autenticação SQL. Agora você deve ser capaz de se conectar ao seu servidor ou instância.

Comentários

Esta página foi útil?

Last updated on 2025-06-10

Compartilhar via

Tutorial: habilitar somente a autenticação do Microsoft Entra com o SQL do Azure

Pré-requisitos

Atribuir função para habilitar a autenticação somente do Microsoft Entra

Habilitar Autenticação somente do Microsoft Entra

Habilitar no Banco de Dados SQL usando o portal do Azure

Habilitar na Instância Gerenciada de SQL usando o portal do Azure

Verificar o status de autenticação somente do Microsoft Entra

Verifique o status no Banco de Dados SQL

Verificar o status na Instância Gerenciada de SQL

Testar a autenticação SQL com falha de conexão

Desabilitar a Autenticação somente do Microsoft Entra

Desabilitar no Banco de Dados SQL usando o portal do Azure

Desabilitar na Instância Gerenciada de SQL usando o portal do Azure

Testar a conexão ao SQL do Azure novamente

Conteúdo relacionado

Comentários

Recursos adicionais